- FIDO2-baserte passord tillater pålogging til WindowsMicrosoft-påloggings-ID, Google og andre tjenester som bruker mobiltelefonen som en sikker autentiseringsenhet.
- Windows 10/11 og de fleste nettlesere støtter FIDO2/WebAuthn, med autentiseringsalternativer på samme enhet eller mellom enheter ved hjelp av QR-kode og Bluetooth.
- Det er mulig å kombinere bruken av mobiltelefoner, fysiske sikkerhetsnøkler og plattformautentiseringsverktøy (Windows Hello, Touch ID osv.) for å oppnå et virkelig passordfritt miljø.
- Organisasjoner kan administrere FIDO2-policyer fra Microsoft Entra og Microsoft Graph, begrense spesifikke AAGUID-er og bruke phishing-resistent MFA.
Hvis du er lei av å krangle med umulige passord, SMS-verifisering og koder som utløper om 30 sekunderÅ bruke mobiltelefonen din som en FIDO2-autentiseringsenhet for å logge på Windows og bedriftsapplikasjonene dine er bokstavelig talt en game-changer. Ideen er enkel: telefonen din blir sikkerhetsnøkkelen din, og du trenger bare å låse den opp med fingeravtrykk, ansikt eller PIN-kode for å bevise at det er deg.
I de senere årene har giganter som Microsoft, Google, Apple og mange sikkerhetsleverandører investert i FIDO2 og passord som reelle erstatninger for passordDenne teknologien er ikke lenger eksperimentell: den fungerer på Windows 10/11. Android, iOSmacOS, ChromeOS og de fleste populære nettleserne. Og det som interesserer oss her, er at den lar deg bruke mobilenheten din som en FIDO2-autentiseringsfunksjon for både tilgang til skyressurser og for Windows-økter som administreres av organisasjonen din.
Hva er FIDO2, passord, og hvorfor kan mobiltelefonen din fungere som en autentiseringsenhet?
Når vi snakker om å bruke en mobiltelefon som autentiseringsverktøy for Windows, snakker vi faktisk om bruk FIDO2-standarder og tilgangsnøklerFIDO står for Fast Identity Online, en allianse av selskaper som har brukt årevis på å utvikle måter å autentisere på uten å være avhengig av svake og gjenbrukte passord.
FIDO2 er den moderne standarden som samler to nøkkelkomponenter: WebAuthn (fra W3C, nettleserdelen og apps) y CTAP2 (protokollen som kommuniserer med autentiseringsenheten, for eksempel telefonen eller den fysiske nøkkelen din)Sammen lar de en onlinetjeneste be deg om å autentisere med mobiltelefonen din, Windows Hello, en FIDO2 USB/NFC-nøkkel osv., i stedet for å tvinge deg til å huske enda et passord.
I denne modellen kan mobiltelefonen din fungere som en FIDO-autentiseringsenhet av typen plattformuavhengigDen lagrer din private nøkkel sikkert og kan signere utfordringer sendt til den av Windows, Microsoft Entra ID, Google eller andre tjenester. Du låser opp telefonen din med din vanlige metode (fingeravtrykk, ansikt, PIN), og enheten håndterer den kryptografiske delen for deg.
Under panseret bruker FIDO2 offentlig nøkkelkrypteringHver gang du registrerer et passord for en bestemt tjeneste, genereres et nøkkelpar: den private nøkkelen lagres på autentisatoren (mobiltelefonen din, PC-en din, en fysisk nøkkel) og forlater den aldri; den offentlige nøkkelen sendes til tjenesten og knyttes til kontoen din. Når du logger deg på igjen, utsteder serveren en utfordring som autentisatoren din signerer med den private nøkkelen, og serveren bekrefter signaturen med den offentlige nøkkelen.
Det praktiske resultatet er at Det er ingen passord å filtrere, ingen engangskoder å avskjære og ingen delte hemmeligheter å stjele fra serveren.Hvis noen prøver å bruke nettfiske på deg, selv om de tar deg til en falsk nettside, vil ikke den kryptografiske utfordringen være gyldig for din virkelige offentlige nøkkel, så angrepet faller fra hverandre av seg selv.
Typer FIDO2-autentiseringsverktøy og mobilens rolle
I FIDO2-økosystemet skilles det mellom to hovedtyper autentisatorer: plattform og multiplattformÅ forstå denne forskjellen vil hjelpe deg å se hvor mobil passer inn når vi snakker om Windows-økter.
En plattformautentiseringsenhet er en som Den er integrert i selve enheten.For eksempel Windows Hello på en bærbar PC med en kompatibel fingeravtrykksleser eller et kompatibelt kamera, Touch ID på en MacBook eller fingeravtrykkssensoren på en moderne bærbar PC. Den kan bare brukes fra samme datamaskin som den er installert på, og kan ikke overføres til en annen enhet.
Multiplattformautentisatorer er de som Du kan bruke den fra flere forskjellige enheter.Det er her FIDO2-sikkerhetsnøkler (YubiKey, SoloKey, Nitrokey, generiske NFC/USB-nøkler) kommer inn i bildet, og, svært viktig for temaet vårt, Android- og iOS-mobiltelefoner som brukes som eksterne autentiseringsverktøy for andre enheter.
Avhengig av innstillingene kan mobiltelefonen din oppføre seg på to måter: som plattformautentisering (når du bruker en tilgangsnøkkel direkte i mobilnettleseren/appen) eller som plattformuavhengig autentiseringsenhet (når mobiltelefonen brukes til å logge på en annen enhet, for eksempel en Windows-PC, ved hjelp av en QR-kode og Bluetooth).
Foruten mobiltelefoner og fysiske nøkler finnes det andre programvaregodkjenninger og maskinvare kompatibel, som Windows Hello, Touch ID, Face ID, spesialiserte mobilautentiseringsprogrammer og apper som Hideez Authenticator som utvider utvalget av alternativer for blandede forretningsmiljøer, der moderne FIDO2-apper sameksisterer med eldre systemer som fortsatt er basert på passord.
FIDO2-kompatibilitet i Windows, nettlesere og tjenester
For at mobilenheten skal fungere som en FIDO2-autentiseringsenhet i Windows-økter, er det viktig at Full FIDO2/WebAuthn-støtte: operativsystemet, nettleseren eller appen og identitetstjenestenHeldigvis er den nåværende støtten svært omfattende.
På operativsystemsiden, Windows 10 (versjon 1903 og senere) og Windows 11 De støtter FIDO2-autentisering innebygd, spesielt hvis enheten er koblet til Microsoft Entra ID (tidligere Azure AD) eller et hybriddomene. Windows Hello fungerer som en plattformautentiseringsenhet, og systemet kan også fungere med FIDO2 USB/NFC-nøkler og mobilautentiseringsenheter.
Når det gjelder nettlesere, Chrome, Edge, Firefox og Safari De har inkludert WebAuthn-støtte for flere versjoner, både på datamaskin og mobil. Dette lar tjenester som Microsoft Entra, Google, Bitwarden og andre passordbehandlere og SSO-leverandører starte FIDO2-autentiseringsflyten direkte fra nettleseren.
På tjenestenivå støtter eller tar i bruk passord nesten hele økosystemet som er viktig i dag: Microsoft Entra ID, Google-kontoer, Google Workspace, leverandører av SSO for bedrifter, passordbehandlere som Bitwarden og identitetsplattformer som Hideez Cloud IdentityHver av dem integrerer FIDO2 på en litt forskjellig måte, men kjerneideen er den samme: autentiseringsverktøyet ditt (mobil, nøkkel eller Windows Hello) signerer utfordringer i stedet for å skrive inn passord.
I forretningsmiljøer, dessuten, Med Microsoft Entra ID kan du administrere FIDO2 som en offisiell autentiseringsmetode.Dette innebærer å bruke spesifikke policyer for å aktivere det, begrense spesifikke AAGUID-er (nøkkelmodeller eller autentisatorer) og bruke det under betingede tilgangsforhold. Dette er viktig når du vil sikre sensitive ressurser og implementere phishing-resistent MFA.
Logg på med FIDO2-passord til Microsoft. Logg på med mobilenheten din.
Det første praktiske scenariet for bruk av en mobiltelefon som en FIDO2-autentiseringsenhet med Windows involverer vanligvis Microsoft Access IDfordi mange Windows 10/11-økter i bedrifter er koblet til Entra og bruker den identiteten for ressurser som Office, Teams, Sharepoint og interne apper.
Entra støtter tre store FIDO2-passordmodeller for brukere: Tilgangsnøkler lagret på selve påloggingsenheten, nøkler lagret på en annen enhet (for eksempel mobiltelefonen din) og nøkler lagret på en fysisk sikkerhetsnøkkel.Alle disse modellene kan kombineres innenfor samme organisasjon.
Når tilgangsnøkkelen er lagret på samme enhet (for eksempel på en bærbar PC med Windows Hello eller på mobiltelefonen der du har Microsoft Authenticator og tilgangsnøkkelen), er flyten veldig enkel: Du navigerer til ressursen (kontor, bedriftsportal osv.) og velger autentiseringsalternativet med ansikt, fingeravtrykk, PIN eller sikkerhetsnøkkelSystemet åpner et sikkerhetsvindu og ber deg om å identifisere deg selv ved hjelp av den konfigurerte metoden.
Hvis passordet er på en annen enhet, for eksempel mobiltelefonen din, inkluderer prosessen autentisering mellom enheterI Windows 11 23H2 eller nyere, for eksempel, når du velger å logge på med en sikkerhetsnøkkel, får du muligheten til å velge en ekstern enhet, for eksempel «iPhone». iPad eller Android-enhet.» PC-en viser en QR-kode som du skanner med mobiltelefonens kamera. Deretter vil telefonen be om biometri eller PIN-kode, og ved hjelp av Bluetooth og Internett vil den fullføre autentiseringen på den eksterne datamaskinen.
I begge tilfeller, når flyten er fullført, blir du autentisert mot Microsoft Access IDsom igjen gir deg tilgang til skyapplikasjonene dine og, i godt integrerte miljøer, Windows-økter eller skrivebordsapper som er avhengige av den identiteten.
Spesifikk bruk av Microsoft Authenticator med passord på Android og iOS
En av de enkleste måtene å bruke mobiltelefonen din som en FIDO2-autentiseringsenhet i Microsoft-miljøer er via Microsoft Authenticator med støtte for tilgangsnøklerDenne appen kan fungere som en FIDO2-autentiseringsfunksjon både på samme enhet (lokal autentisering) og mellom enheter (for å logge på en Windows-PC eller annen datamaskin).
På iOS kan du bruke Authenticator som en plattformautentisering for å logge på Microsoft. Skriv inn ID-en din i en sin egen nettleser iPhone eller iPad og i innebygde Microsoft-applikasjoner som OneDrive, SharePoint eller Outlook. Systemet vil vise deg alternativet «Ansikt, fingeravtrykk, PIN-kode eller sikkerhetsnøkkel», og når du velger det, vil det be om Face ID, Touch ID eller enhetens PIN-kode.
For autentisering mellom enheter i iOS er den klassiske prosessen: På den andre datamaskinen (for eksempel en Windows 11-maskin), gå til Microsofts påloggingsside. Logg inn, velg andre påloggingsmetoder, velg autentisering med sikkerhetsnøkkel, og velg iPhone/iPad/Android-enhet.I det øyeblikket vises en QR-kode på PC-skjermen.
Med iPhonen din åpner du systemkamera-app (ikke kameraet som er innebygd i Authenticator, siden det ikke forstår WebAuthn QR-koden) og peker det mot koden. iPhonen tilbyr alternativet «Logg på med passord», og etter at du har bekreftet identiteten din med Face ID, Touch ID eller PIN, fullfører telefonen FIDO2-autentiseringen med PC-en ved hjelp av Bluetooth og en internettforbindelse.
På Android er oppførselen lik, men med noen nyanser. Autentisering av den samme enheten i en nettleser krever Android 14 eller nyere For å bruke Authenticator som en nøkkellagring på telefonen din, gå til nettstedet Min sikkerhetsinformasjon, velg innloggingsalternativer og velg ansikt, fingeravtrykk, PIN eller sikkerhetsnøkkel. Hvis du har flere lagrede nøkler, vil systemet be deg velge hvilken du vil bruke.
For autentisering mellom enheter på Android følger du samme mønster på PC-en: Gå til Enter, velg sikkerhetsnøkkel, velg Android-enhetDen eksterne enheten viser en QR-kode, som du kan skanne med systemets kamera eller fra selve Authenticator-appen, ved å angi tilgangsnøkkelkontoen og bruke QR-kodeskanningsknappen som er synlig i passorddetaljene.
I alle disse scenariene er det viktig å ha Bluetooth og internettforbindelse aktiv på begge enheteneHvis organisasjonen har restriktive Bluetooth-policyer, kan det hende at administratoren må konfigurere unntak for å tillate paringer kun med FIDO2-passordaktiverte autentiseringsfunksjoner.
Andre FIDO2-brukstilfeller: Google, Bitwarden og SSO for bedrifter
Utover Microsoft og Windows passer selve konseptet med å bruke en mobiltelefon som en FIDO2-autentisering perfekt med Google Passkeys, FIDO2-passordbehandlere og SSO-løsninger for bedrifterAlt dette gjør mobiltelefonen din til kjernen i din digitale identitet.
I Google kan du opprette tilgangsnøkler for din personlige konto eller Workspace-konto og bruke el opplåsingsmetode mobilskjerm (fingeravtrykk, ansikt, PIN-kode) som hovedfaktor. Når tilgangsnøkkelen er konfigurert på Android-telefonen eller iPhonen din, kan du logge på Google-kontoen din på en PC ved å bruke prosessen «Prøv en annen måte» / «Bruk tilgangsnøkkelen din» og skanne en QR-kode som vises i datamaskinens nettleser.
Opplevelsen er lik: PC-en viser en QR-kode, du skanner den med telefonens kamera eller innebygde skanner, og telefonen ber deg om å låse den opp. Etter at du har bekreftet biometrien eller PIN-koden din, Mobiltelefonen signerer FIDO2-utfordringen, og PC-en får tilgang til kontoen dinEtter det kan Google foreslå å opprette en lokal passnøkkel på datamaskinen din, men det er valgfritt.
Bitwarden, på sin side, tillater aktivering totrinnspålogging med FIDO2 WebAuthn i applikasjonene. Du kan registrere FIDO2-sertifiserte fysiske sikkerhetsnøkler, men også bruke innebygde autentiseringsverktøy som Windows Hello eller Touch ID. På mobile enheter er det mulig å bruke NFC-aktiverte nøkler (som YubiKey NFC) ved å bringe dem nær telefonens leseområde. Noen ganger må du "sikte" forsiktig fordi plasseringen til NFC-leseren varierer avhengig av modellen.
I forretningsmiljøet brukes plattformer som Hideez Cloud Identity De kombinerer synkroniserte FIDO2-passord (de du kanskje har i Google eller iCloud) med sine egne mobilautentiseringsverktøy basert på dynamiske QR-koder. Den typiske arbeidsflyten er som følger: for å logge på en PC åpner du appen på telefonen, skanner en QR-kode som vises på dataskjermen og autoriserer påloggingen fra mobilenheten din, som fungerer som en sikker autentiseringsverktøy.
Denne tilnærmingen er spesielt nyttig når du har en blanding av Moderne applikasjoner som er kompatible med FIDO2 og eldre systemer som fortsatt er avhengige av brukernavn og passordNoen maskinvarenøkler og identitetsløsninger lar til og med den samme nøkkelen fungere som en FIDO2-autentiseringsenhet for nye tjenester og som passordbehandling kryptering for eldre applikasjoner.
Aktiver FIDO2/passord i organisasjoner med Microsoft-pålogging
Hvis målet ditt er å gjøre det mulig for brukere å bruke mobilenheten sin som en FIDO2-autentiseringsenhet i Windows-økter og bedriftsapplikasjoner, innebærer veien videre Aktiver FIDO2-metoden formelt i Microsoft Entra ID og definer hvilke typer autentisatorer som er tillatt.
Fra Microsoft Entra-administrasjonssenteret kan en administrator for autentiseringspolicyer gå til Entra ID → Autentiseringsmetoder → Policyer og finne metoden «sikkerhetsnøkkel (FIDO2)Der kan du aktivere det globalt eller for spesifikke sikkerhetsgrupper, konfigurere om selvbetjeningsregistrering er tillatt og bestemme om enhetsattesteering er nødvendig.
Attesteringsalternativet tillater kun at følgende godtas: FIDO2-nøkler og autentisatorer fra legitime leverandørerSiden hver produsent publiserer en AAGUID (Authenticator Attestation GUID) som identifiserer merke og modell, kan en "nøkkelbegrensningspolicy" brukes for å autorisere bare visse AAGUID-er og blokkere resten. Dette er veldig nyttig når du ønsker å ha en kontrollert samling av nøkler eller mobile bedriftsautentiseringsverktøy.
For mer avanserte scenarier tilbyr Microsoft Microsoft Graph API for administrasjon av FIDO2Gjennom FIDO2-konfigurasjonsendepunktet authenticationMethodsPolicy kan du automatisere opprettelse av legitimasjon, validere spesifikke AAGUID-er eller til og med klargjøre FIDO2-sikkerhetsnøkler på vegne av brukere (forhåndsversjon) ved hjelp av CTAP og creationOptions returnert av Entra.
Når FIDO2-metoden er riktig konfigurert, kan du opprette autentiseringsstyrker basert på passordnøkkel og bruk dem i policyer for betinget tilgang. For eksempel, opprett en regel som krever autentisering med FIDO2-tilgangsnøkler (og eventuelt begrense til én eller flere AAGUID-er for mobile autentisatorer eller spesifikke nøkler) for å få tilgang til kritiske applikasjoner eller eksterne skrivebordsøkter.
Vedlikeholdsscenarier vurderes også: Slette brukerpassord fra administrasjonssenteretUPN-endringer (i så fall må brukeren slette sin gamle FIDO2-nøkkel og registrere en ny) og begrensninger som den nåværende mangelen på støtte for B2B-gjestebrukere til å registrere FIDO2-legitimasjon direkte i ressursleietakeren.
Konfigurer og bruk FIDO2-sikkerhetsnøkler med mobiltelefonen din
Selv om fokuset i denne teksten er mobiltelefonen som autentiseringsmiddel, er det i mange miljøer fornuftig å kombinere den med FIDO2 fysiske sikkerhetsnøklerspesielt for administratorer, ansatte med kritisk tilgang eller brukere som trenger en robust andre metode.
Oppsettet starter vanligvis fra kontosikkerhetsportaler, for eksempel i https://aka.ms/mfasetup eller på Microsofts sider «Min sikkerhetsinformasjon». Der velger du «Sikkerhetsnøkkel» og velger om det er USB eller NFC, og du følger veiviseren, som varierer avhengig av operativsystem og nøkkeltype. Til slutt tildeles nøkkelen et navn for fremtidig identifisering.
Når nøkkelen er registrert, kan den brukes fra støttede nettlesere (Edge, Chrome, Firefox) eller til og med å logge på Windows 10/11-datamaskiner som er levert og konfigurert av organisasjonen. Videre tilbyr systemer som RSA spesifikke verktøy (RSA Security Key Utility) for å administrere nøkkelens PIN-kode, endre den, tilbakestille enheten og integrere den med bedriftsautentiseringsprodukter som SecurID.
I FIDO2-sammenheng er maskinvarenøkler rett og slett en annen type plattformuavhengig autentiseringsfunksjon. Mobilenheten din kan bruke dem samtidig. Du kan ha synkroniserte tilgangsnøkler på mobilenheten din, fysiske nøkler for kritisk bruk og plattformautentiseringsverktøy som Windows Hello på arbeidsdatamaskinene dine.Jo mer robuste og veladministrerte metoder du har, desto mindre vil du være avhengig av svake passord.
Uansett, enten du bruker fysiske eller mobile nøkler, anbefales det at administratoren definerer klare retningslinjer for å legge til, fjerne og erstatte autentisatorersamt prosedyrer som skal følges ved tap eller tyveri av en enhet (tilbakekalle den tilhørende tilgangsnøkkelen, se over nylige tilganger, tvinge frem MFA ved neste pålogging osv.).
Reelle fordeler og begrensninger ved å bruke FIDO2 med mobiltelefonen din
Klar forbedring i både sikkerhet og brukervennlighet Når du bruker mobiltelefonen som en FIDO2-autentiseringsenhet for Windows-økter og tilhørende tjenester, er det imidlertid også ulemper og nyanser som bør være kjent med.
Den største fordelen er det Autentisering blir motstandsdyktig mot phishing og angrep med påloggingstyveriSiden den private nøkkelen aldri forlater telefonen og kun brukes til å signere kryptografiske utfordringer, kan ikke en angriper «stjele» passordet ditt fordi det rett og slett ikke eksisterer. Selv om en tjeneste blir utsatt for et sikkerhetsbrudd, er det offentlige nøkler som blir eksponert, og disse er ubrukelige uten den fysiske autentiseringsfunksjonen.
En annen viktig fordel er brukeropplevelsen: Det er mye raskere og mer naturlig å låse opp telefonen med fingeravtrykket eller ansiktet ditt. enn å skrive lange passord, administrere engangskoder via SMS eller huske svar på sikkerhetsspørsmål. I mange tilfeller eliminerer det også behovet for et andre lag med tradisjonell MFA, siden FIDO2 i seg selv oppfyller kravene til sterk, phishing-resistent MFA.
På regulatorisk nivå hjelper innføring av FIDO2 organisasjoner med å i samsvar med regelverk som GDPR, HIPAA, PSD2 eller NIS2Og med retningslinjene fra NIST eller CISA som anbefaler phishing-resistent MFA, er det ingen tilfeldighet at myndigheter og store selskaper tyr til FIDO-løsninger innenfor rammen av nulltillitsstrategier.
Når det gjelder begrensninger, er et av de tydeligste problemene teknologisk arvMange applikasjoner, eldre VPN-er, spesifikke eksterne skrivebord eller interne systemer støtter ikke FIDO2 eller moderne SSO. For disse trenger du fortsatt tradisjonelle passord eller autentiseringsverktøy, selv om du kan pakke noe av tilgangen inn i en moderne IdP som kommuniserer FIDO2 utover.
Videre, i mange tjenester fortsatt Passordet forsvinner ikke heltDen oppbevares ofte som en gjenopprettingsmekanisme hvis du mister alle passnøklene dine, noe som betyr at hvis den ikke håndteres riktig, finnes det fortsatt en mindre sikker «plan B». Bransjen beveger seg mot modeller der du utelukkende kan stole på passnøkler, men foreløpig vil du fortsatt se passord overalt.
En annen viktig nyanse er forskjellen mellom Synkroniserte passord og passord knyttet til enhetenFørstnevnte replikeres gjennom skytjenester (som iCloud Keychain eller Google Password Manager), noe som forbedrer bekvemmeligheten, men kompliserer bedriftens kontroll; sistnevnte forblir knyttet til én maskinvare (bedriftsmobil, fysisk nøkkel), noe som gir IT mer kontroll på bekostning av noe bekvemmelighet for brukeren.
For mange brukere og bedrifter er det en svært rimelig måte å bruke en mobil enhet som FIDO2-autentisering for Windows-økter og tilgang til skyressurser på. Hopp på vognen med passordløs autentiseringDen kombinerer sikkerheten til offentlig nøkkelkryptografi med bekvemmeligheten av å låse opp telefonen du allerede har med deg, integreres med Windows 10/11, Microsoft Entra, Google og andre moderne tjenester, og lar deg leve med fysiske nøkler og eldre systemer mens du går over til en verden der passord blir mindre og mindre viktige.
Lidenskapelig forfatter om verden av bytes og teknologi generelt. Jeg elsker å dele kunnskapen min gjennom å skrive, og det er det jeg skal gjøre i denne bloggen, vise deg alle de mest interessante tingene om dingser, programvare, maskinvare, teknologiske trender og mer. Målet mitt er å hjelpe deg med å navigere i den digitale verden på en enkel og underholdende måte.